0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@emi_ndk(Babushka Ai)

【衝撃】「Shift Leftは死んだ」AI時代のセキュリティ革命。Cycodeが宣言した開発手法の終焉

0
Posted at

まだ「Shift Left」やってるの?

「セキュリティは開発初期から!」「テストを左にシフト!」

この10年間、DevSecOpsの世界で叫ばれ続けてきた「Shift Left」。

でも、もう終わりです。

2026年5月、セキュリティ企業Cycodeが衝撃の宣言を出しました。

「Shift Left is dead. The agentic era requires the Shift to AI.」
(Shift Leftは死んだ。エージェント時代には「AIへのシフト」が必要だ)
— Lior Levy, Cycode CEO

なぜ今、業界のベストプラクティスが「死亡宣告」を受けたのか?

結論から言うと:AIエージェントがコードを書く速度に、人間中心のセキュリティは追いつけない

45%のAI生成コードに脆弱性がある現実

まず、衝撃的な数字を見てください。

指標 数値
脆弱性を含むAI生成コード 45%
Java新規コードの失敗率 72%
CVE公開から24時間以内の悪用 28.3%

Mandiantの「M-Trends 2026」レポートによると、攻撃者は脆弱性が公開される前にエクスプロイトを完成させているケースすらあります。

"Time-to-exploit has effectively gone negative — exploits are now routinely arriving before patches."

つまり、パッチが出る前に攻撃が来る。

「開発初期にセキュリティを移動させよう」という発想自体が、もう時代遅れなんです。

なぜShift Leftは死んだのか?

1. AIエージェントは人間の速度で動かない

従来のShift Leftは、人間の開発者がコードを書くことを前提としていました。

  • 人間がコードを書く
  • 人間がレビューする
  • 人間がテストする

でも今、Claude CodeやCopilotが秒速でコードを生成しています。

# 従来:人間が1時間で100行
# 現在:AIが1分で1,000行

速度差:60倍

セキュリティチェックが追いつくわけがない。

2. 「シャドーAI」問題の爆発

従業員が無許可のAIツールを使い始めています。

  • 会社が承認していないClaude Code
  • 個人契約のCopilot
  • 野良のMCPサーバー

IT部門が把握していないツールから、機密データが漏れている可能性があります。

3. レガシーツールはAI生成コードを検出できない

従来のSAST(静的解析)ツールは、AIが書いたマルウェアを見逃します

なぜか?

AIが生成するコードは「正規のソフトウェアに見える」から。

署名ベースの検出では、正規品っぽいコードの中に埋め込まれた悪意を見つけられません。

新時代のセキュリティ:ADLC(Agentic Development Lifecycle)

CycodeはShift Leftの代わりに、ADLC Securityを提唱しています。

ADLCの4つの柱

┌────────────────────────────────────────────────────┐
│                 ADLC Security                       │
├────────────┬────────────┬────────────┬────────────┤
│ AI         │ AI         │ AI         │ AI Risk    │
│ Visibility │ Governance │ Guardrails │ Detection  │
├────────────┼────────────┼────────────┼────────────┤
│ シャドーAI │ ポリシー   │ リアルタイム│ OWASP     │
│ の発見     │ 制御       │ ブロック   │ LLM Top10 │
└────────────┴────────────┴────────────┴────────────┘

1. AI Visibility(可視化)

無許可のAIツールを自動検出

# 例:開発環境のAIツール一覧を取得
cycode ai scan --discover-tools

# 結果
Found 12 AI tools:
  - Claude Code (approved)
  - GitHub Copilot (approved)
  - RandomMCP-server (UNAUTHORIZED) ⚠️
  - CursorIDE (pending approval)

2. AI Governance(ガバナンス)

どのモデル、どのツールを使っていいかポリシーで制御

# cycode-policy.yaml
ai_governance:
  approved_models:
    - claude-opus-4.7
    - gpt-5.5
  blocked_models:
    - deepseek-*  # 情報漏洩リスク
  data_classification:
    - pii: block
    - secrets: block
    - source_code: allow_internal_only

3. AI Guardrails(ガードレール)

危険なプロンプトをリアルタイムでブロック

# ブロックされる例
User: "本番DBのパスワードを含むコードを書いて"
→ 🚫 BLOCKED: Secret exposure detected

User: "顧客の個人情報をログに出力する関数を作って"
→ 🚫 BLOCKED: PII logging violation

4. AI Risk Detection(リスク検出)

従来のSASTが見逃すOWASP LLM Top 10の脆弱性を検出。

  • プロンプトインジェクション
  • データポイズニング
  • サプライチェーン攻撃
  • 過剰な権限付与

OpenAIも動いた:Daybreak発表

OpenAIも2026年5月11日にDaybreakを発表しました。

これはAIによる脆弱性検出・パッチ適用の自動化プラットフォームです。

┌─────────────────────────────────────────────────────┐
│                  OpenAI Daybreak                    │
├─────────────────────────────────────────────────────┤
│ GPT-5.5              → 標準セーフガード             │
│ GPT-5.5 Trusted      → 認証済み防御環境用           │
│ GPT-5.5-Cyber        → レッドチーム・ペネトレ用     │
└─────────────────────────────────────────────────────┘

すでに以下の企業がDaybreakを採用:

  • Akamai
  • Cisco
  • Cloudflare
  • CrowdStrike
  • Fortinet
  • Oracle
  • Palo Alto Networks
  • Zscaler

Claude Codeユーザーが今すぐやるべきこと

1. プロンプトガードを設定する

// .claude/settings.json
{
  "security": {
    "block_patterns": [
      "password",
      "api_key",
      "secret",
      "credentials"
    ],
    "audit_logging": true
  }
}

2. MCPサーバーを監査する

# 使用中のMCPサーバーを確認
claude mcp list

# 不審なサーバーがあれば削除
claude mcp remove suspicious-server

3. deny rulesを確実に設定する

警告: Claude Codeには「51個目のコマンドでdeny rulesが無効化される」バグがありました。最新版にアップデートしてください。

# 最新版にアップデート
npm update -g @anthropic-ai/claude-code

まとめ:Shift LeftからShift to AIへ

  • Shift Leftは死んだ:AIエージェントの速度に人間中心のセキュリティは追いつけない
  • 45%のAI生成コードに脆弱性:従来のSASTでは検出不可能
  • ADLCが新標準:AI可視化・ガバナンス・ガードレール・リスク検出の4本柱
  • OpenAI Daybreak登場:大手企業がAIセキュリティに本腰

2026年、セキュリティの世界は「人間が頑張る」から「AIにAIで対抗する」フェーズに移行しました。あなたの開発環境は大丈夫ですか?

この記事が役に立ったら、いいねストックをお願いします!

質問やコメントがあれば、ぜひ下のコメント欄で教えてください。

「うちではこんなAIセキュリティ対策をしている」という事例も大歓迎です!

参考リンク

Shift Left is Dead and Companies Need to Move On - Cybersecurity Insiders

Cycode Proclaims Shift Left is Dead as it Leads the Shift to AI - VMblog

OpenAI Launches Daybreak for AI-Powered Vulnerability Detection - The Hacker News

AI Coding Security Vulnerability Statistics 2026 - SQ Magazine

2026: The Year of AI-Assisted Attacks - The Hacker News

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?